CVE-2020-9484: Apache Tomcat Session 反序列化代碼執(zhí)行漏洞的示例分析

CVE-2020-9484: Apache Tomcat Session 反序列化代碼執(zhí)行漏洞的示例分析，相信很多沒有經(jīng)驗的人對此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個問題。

0x00 漏洞背景

2020年05月21日， 360CERT監(jiān)測發(fā)現(xiàn) Apache 官方發(fā)布了 Apache Tomcat 遠程代碼執(zhí)行 的風險通告，該漏洞編號為 CVE-2020-9484，官方對該漏洞評級：高危。

Apache Tomcat 是一個開放源代碼、運行servlet和JSP Web應用軟件的基于Java的Web應用軟件容器。

當Tomcat使用了自帶session同步功能時，使用不安全的配置（沒有使用EncryptInterceptor）會存在反序列化漏洞，攻擊者通過精心構(gòu)造的數(shù)據(jù)包， 可以對使用了自帶session同步功能的Tomcat服務器進行攻擊。

對此，360CERT建議廣大用戶及時安裝最新補丁，做好資產(chǎn)自查/自檢/預防工作，以免遭受黑客攻擊。

0x01 風險等級

360CERT對該漏洞進行評定

0x02 漏洞詳情

利用該漏洞需要滿足如下四個條件：

1. 攻擊者能夠控制服務器的文件的內(nèi)容和名稱。

2. 服務器被配置為使用PersistenceManager和FileStore。

3. PersistenceManager配置了sessionAttributeValueClassNameFilter="null"(默認值，除非使用了SecurityManager)或者其他非常寬松的過濾器，攻擊者就能夠?qū)μ峁┑膶ο筮M行反序列化。

4. 攻擊者知道從FileStore使用的存儲位置到攻擊者所控制的文件的相對文件路徑。

0x03 影響版本

• Apache Tomcat : 10.0.0-M1 to 10.0.0-M4

• Apache Tomcat : 9.0.0.M1 to 9.0.34

• Apache Tomcat : 8.5.0 to 8.5.54

• Apache Tomcat : 7.0.0 to 7.0.103

0x04 修復建議

通用修補建議：

• 升級到 Apache Tomcat 10.0.0-M5 及以上版本

• 升級到 Apache Tomcat 9.0.35 及以上版本

• 升級到 Apache Tomcat 8.5.55 及以上版本

• 升級到 Apache Tomcat 7.0.104 及以上版本

臨時修補建議：

禁止使用Session持久化功能FileStore。

0x05 相關(guān)空間測繪數(shù)據(jù)

360安全大腦-Quake網(wǎng)絡空間測繪系統(tǒng)通過對全網(wǎng)資產(chǎn)測繪，發(fā)現(xiàn)Apache Tomcat在國內(nèi)外均有廣泛使用，具體分布如下圖所示。

0x06 產(chǎn)品側(cè)解決方案

360城市級網(wǎng)絡安全監(jiān)測服務

360安全大腦的QUAKE資產(chǎn)測繪平臺通過資產(chǎn)測繪技術(shù)手段，對該類 漏洞/事件 進行監(jiān)測，請用戶聯(lián)系相關(guān)產(chǎn)品區(qū)域負責人獲取對應產(chǎn)品。

看完上述內(nèi)容，你們掌握CVE-2020-9484: Apache Tomcat Session 反序列化代碼執(zhí)行漏洞的示例分析的方法了嗎？如果還想學到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！